RSAC2023解讀第1期 | 未來安全趨勢揭秘

2023年的RSA Conference（RSAC2023）是全球網(wǎng)絡(luò)安全行業(yè)的又一次盛會，已于2023年4月24日至4月27日在美國舊金山順利召開。作為安全界的“奧林匹克”，RSAC大會更是網(wǎng)絡(luò)安全領(lǐng)域的重要風(fēng)向標(biāo)之一，備受矚目。華為安全技術(shù)專家們在大會的吸引下，針對RSAC2023的眾多議題和創(chuàng)新沙盤展開探討，以本文為開篇，將推出一系列解讀文章，敬請持續(xù)關(guān)注。

當(dāng)今世界處于劇烈變化階段，從去全球化到地緣政治危機爆發(fā)，各國經(jīng)濟放緩，以及AI和量子新一代革命性技術(shù)開始重構(gòu)產(chǎn)業(yè)。每年的RSAC大會是安全產(chǎn)業(yè)的市場風(fēng)向標(biāo)，它的主題更貼近客戶的心靈感受，從去年的Transform（轉(zhuǎn)型）到今年的Stronger Together（一起強大），總體是在表述“天冷了”，攻擊更多、新技術(shù)沖擊的情況下，更渴望團結(jié)協(xié)作的力量。

據(jù)大會的一項報告，網(wǎng)絡(luò)犯罪的年GDP產(chǎn)值排在中美兩國GDP之后，可以列為第三大經(jīng)濟體，其中對勒索犯罪的關(guān)注依然是熱點，探討勒索軟件攻擊防護，以及付贖金的方式等話題；另外，基于地緣政治的網(wǎng)絡(luò)對抗加劇，大會討論了關(guān)鍵基礎(chǔ)設(shè)施的安全防護能力，包括DDoS攻擊、釣魚欺詐、漏洞利用、供應(yīng)鏈攻擊、數(shù)據(jù)泄露等。對于這類針對性的攻擊，攻擊手段通常復(fù)雜，隱蔽性強，攻擊速度快，給防御留下的響應(yīng)時間窗口短。因此，需要更快速的機器反應(yīng)速度，自動化和智能化在其中扮演著關(guān)鍵角色。

未來對安全管理者而言，挑戰(zhàn)重重，預(yù)算在消減，威脅在增大。據(jù)面向消費領(lǐng)域的網(wǎng)絡(luò)行業(yè)安全調(diào)查顯示，安全管理者面臨的最大挑戰(zhàn)是時間管理，消費行業(yè)安全管理者平均每周花費27小時在非主要工作職能（即日?；顒樱┥稀０踩芾碚哌€有其他問題：人手不足 （66%）；任務(wù)超額 （55%）；在托管環(huán)境中缺乏可見性 （45%）；工具、技術(shù)或集成不足 （32%）等等。在風(fēng)險關(guān)注上，對勒索軟件和數(shù)據(jù)丟失防護居于首位，其次是身份和訪問管理、網(wǎng)絡(luò)釣魚、業(yè)務(wù)中斷、漏洞管理、信息欺詐，以及風(fēng)險治理與合規(guī)。

安全作為所有事物和復(fù)雜系統(tǒng)的屬性，就是數(shù)字世界的一個維度，可以壓縮，但不可消減。組成數(shù)字世界的眾多系統(tǒng)的不同形態(tài)，決定了安全產(chǎn)業(yè)的碎片化，100+的不同安全產(chǎn)品類型，以及人和組織制度的因素，對于安全管理者是個最大的挑戰(zhàn)。

未來安全的雙解之道：
融合安全產(chǎn)品和AI技術(shù)

從發(fā)展趨勢看，安全產(chǎn)品融合和AI在安全的應(yīng)用可以看做未來安全的兩個解決之道。在RSAC2023大會上，與會的安全專家們就這兩個話題也充分發(fā)表了意見：

安全產(chǎn)品的融合，是一直隱藏在安全運營背后的核心問題。無論是從經(jīng)濟角度，花更少的錢做更多的事，還是在現(xiàn)實威脅下，真正有效的管理和利用已有安全能力上，都需要安全產(chǎn)品的融合。從大會上的頂級安全專家的訪談看，安全供應(yīng)商的數(shù)量眾多，解決方案的數(shù)量也多，把安全分散到100種不同的產(chǎn)品中，會讓安全變得很復(fù)雜，而客戶需要的是無縫順滑的安全體驗。產(chǎn)品間能夠協(xié)同工作，不同平臺融合，安全供應(yīng)商之間的協(xié)作，或者社區(qū)協(xié)作對網(wǎng)絡(luò)安全至關(guān)重要。傳統(tǒng)的七國八制的產(chǎn)品集成的建設(shè)方法，在實際的網(wǎng)絡(luò)空間安全對抗中，已被證明效果不佳，孤島和煙囪式的方案，無法有效協(xié)同。Gartner提的網(wǎng)絡(luò)安全網(wǎng)格的體系架構(gòu)，通過四個基礎(chǔ)層：安全分析和情報層，分布式身份層，策略和狀態(tài)管理層，整合儀表盤層，最終實現(xiàn)一個分布式安全服務(wù)的可組合擴展的安全協(xié)作架構(gòu)。

ChatGPT引發(fā)的無處不在的AI（Artificial Intelligence，人工智能）浪潮席卷而來，成為大會的非官方主題。智能化潛移默化，逐步滲透到安全建設(shè)的各個方面，也同時會成為各個安全廠家軍備競賽的重點。會上有數(shù)十家公司宣布了他們的人工智能集成網(wǎng)絡(luò)安全產(chǎn)品，其中微軟的Security Copilot，谷歌基于LLM構(gòu)筑的Sec-PaLM，以及Security AI Workbench的第一個落地新產(chǎn)品VirusTotal Code Insight，通過分析潛在的惡意腳本并解釋其行為，最終有助于改善對哪些腳本是真正威脅的檢測。SentinelOne推出的生成AI驅(qū)動的威脅狩獵工具Purple AI，基于數(shù)據(jù)湖之上，能自動處理不同來源的數(shù)據(jù)，它使用自然語言查詢系統(tǒng)的能力將為分析師節(jié)省大量時間，并使安全團隊能夠響應(yīng)更多警報并捕獲更多攻擊。

不管當(dāng)前實際效果如何，業(yè)界基于大語言模型至少在安全運營層面向安全分析師助理在演進(jìn)，預(yù)計會在不遠(yuǎn)的將來代替人工大量事務(wù)性的分析工作。AI在安全領(lǐng)域的應(yīng)用會是個顛覆性的工作，它在代碼安全、行為異常檢測、文件分類研判，威脅情報提取都會不斷突破，在基于身份的零信任領(lǐng)域，AI的實時評估也會不可替代。同時一個問題，也會是所有安全業(yè)者的想知道的，如何訓(xùn)練擁有一個強大的安全領(lǐng)域的AI模型，這里面不僅僅是算法模型的創(chuàng)新和突破，更多是需要擁有一個龐大而多樣的高質(zhì)量安全數(shù)據(jù)集，并有正確的工程訓(xùn)練的方法，來對齊訓(xùn)練人工智能模型。從已有經(jīng)驗看，AI在安全領(lǐng)域應(yīng)用容易上手，但想達(dá)到被客戶接受的可用程度，門檻還是非常高。

在關(guān)注大方面的同時，也看看有哪些關(guān)鍵的平臺和技術(shù)方向。

作為集約化、標(biāo)準(zhǔn)化和服務(wù)化的網(wǎng)絡(luò)安全邊緣服務(wù)平臺，SASE（Secure Access Service Edge，安全訪問服務(wù)邊緣）符合客戶的降本增效的需求。埃森哲的調(diào)查顯示，客戶在討論下一代網(wǎng)絡(luò)戰(zhàn)略時，認(rèn)為SASE可以實現(xiàn)環(huán)境的靈活性和敏捷性，并降低業(yè)務(wù)的整體運營風(fēng)險，和身份管理、零信任結(jié)合起來更強大。Gartner把SSE（Security Service Edge，安全服務(wù)邊緣）定義為：“SSE可以保護對Web、云服務(wù)和私有應(yīng)用程序的訪問，無論用戶的位置或他們正在使用的設(shè)備或該應(yīng)用程序托管在哪里”。SSE提供駐留在云中的安全性，并將功能與物理位置分離。同時還包含可見性或數(shù)字體驗管理。作為MQ（Magic Quadrant，魔力象限）新品類，值得關(guān)注。

XDR（Extended Detection and Response，擴展檢測與響應(yīng)）正從安全運營的成熟度曲線頂峰滾落，雖然從其技術(shù)框架和功能集上看，和SIEM（Security Information and Event Management，安全信息與事件管理）差異不大。但XDR對于實時檢測，響應(yīng)的及時性和有效性上更看重。一般認(rèn)為XDR都是EDR廠商演進(jìn)而來，對于檢測響應(yīng)，Telemetry信息至關(guān)重要，相比傳統(tǒng)SIEM采集的各種主機、網(wǎng)絡(luò)、云的日志信息，EDR采集的端側(cè)信息更加精確，所以能高置信度的分析研判。除了精確信息采集，XDR/SIEM平臺還強調(diào)自動化響應(yīng)處置。Torq是一家初創(chuàng)公司，其技術(shù)為自動化安全操作提供了一種無代碼方法，能連接所有基礎(chǔ)架構(gòu)環(huán)境中的所有應(yīng)用程序和堆棧，包括Slack、Zoom和Microsoft Teams；并支持任何命令行界面或編程語言，以及容器化操作的編排。

攻擊面管理一直是安全運營者的高優(yōu)先級工作，其目的是幫助組織及時識別數(shù)字資產(chǎn)，提前有效預(yù)防和減輕遭受外部攻擊的風(fēng)險。當(dāng)前，攻擊面管理可以通過結(jié)合ISA（Infrastructure Sensitivity Analysis，基礎(chǔ)設(shè)施敏感性分析）和BAS（Breach and Attack Simulation，入侵與攻擊模擬）技術(shù)來更好地降低受攻擊風(fēng)險。

AI的廣泛應(yīng)用，使得AI模型本身的可信和安全成為關(guān)鍵。本次RSAC沙盒冠軍HiddenLayer站在了風(fēng)口，防護框架方面提出了MLDR（Machine Learning Detection and Response，機器學(xué)習(xí)檢測與響應(yīng)），復(fù)用了檢測和響應(yīng)的概念，給出面向企業(yè)的AI資產(chǎn)梳理、風(fēng)險發(fā)現(xiàn)和檢測響應(yīng)比較系統(tǒng)、完整的方案。安全模型的可解釋性和抗攻擊能力，對于未來安全防護很關(guān)鍵。

Akamai的報告顯示，針對API（Application Programming Interface，中文意為應(yīng)用程序編程接口）的攻擊在2022年又創(chuàng)了記錄，API作為數(shù)字世界不同系統(tǒng)間的橋梁，針對它的防護越來越重要。目前行為分析是用于識別攻擊和提高API安全性的主要方法之一，Akamai提出還可以在三個方面改進(jìn)：在危機發(fā)生之前緩解新的或零日漏洞，實踐安全代碼開發(fā)，以及集成自動化安全控制來匹配攻擊的速度。

敵對雙方的輿論引導(dǎo)，以及釣魚欺詐越來越多，需要對虛假信息的識別和傳播進(jìn)行檢測。有時從內(nèi)容很難判斷真假，大會提到不真實信息的檢測技術(shù)：找出傳播行為、分享行為、以及影響力評估，發(fā)現(xiàn)協(xié)調(diào)一致行為?？紤]到未來安全，人是最薄弱的因素，大語言AI模型生成釣魚、欺詐郵件能力強，防止社工攻擊最關(guān)鍵是要實時檢測和發(fā)現(xiàn)虛假信息。

在后面的章節(jié)中，各華為安全領(lǐng)域?qū)＜視蚏SAC2023大會中觀察到的一些關(guān)鍵的安全產(chǎn)品/方案以及安全相關(guān)技術(shù)的趨勢變化進(jìn)行詳細(xì)解讀，以便大家更好地掌握和應(yīng)對未來安全的變化。在巨大的不確定性和新技術(shù)變革浪潮下，安全始終要護航更美好的數(shù)字化時代：更多鏈接，更多分享，更多協(xié)同，產(chǎn)生更強大的生產(chǎn)力。